IT-Sicherheit: Unternehmen sind auf Computerkriege nicht vorbereitet

Die Bedrohung durch einen möglichen Krieg der Computer – den sogenannten Cyberwar – erfordert nach Meinung des Branchenverbands BITKOM eine enge Kooperation staatlicher Stellen mit der ITK-Wirtschaft. Nicht von ungefähr ist Cyberwarfare in diesem Jahr Schwer­punkt­thema der Münchner Sicherheitskonferenz. Prof. Dieter Kempf vom BITKOM-Prä­si­dium: „Der Schutz gegen Cyberattacken lässt sich rein militärisch nicht darstellen, da hier zivile und militärische Sicherheit verschmelzen.“ Daher sei eine enge Zusammenarbeit zwischen zivilen und militärischen Stellen unumgänglich.

Der Verband begrüßte heute ausdrücklich, dass die NATO dem Thema Cyberwar inzwischen große Beachtung schenkt. In ihrem neuen strategischen Konzept hebt sie Cyberattacken als eines von drei möglichen zukünftigen Bedrohungsszenarien hervor, neben Raketenangriffen und terroristischen Attacken. „Bei der Sicherung des nötigen Expertenwissens zur IT-Sicherheit steht die Bundeswehr natürlich im Wettbewerb mit der Wirtschaft. IT-Sicherheitsexperten werden auch dort zunehmend gesucht. In diesem Zusammenhang ist zu prüfen, ob die aktuellen Besoldungs- und Laufbahnmodelle hinreichend sind, um gut ausgebildete Mitarbeiter dem Militär dauerhaft zu erhalten“, so Kempf. Die Vorfälle in Estland 2007 und Georgien 2008 sowie die aktuelle Problematik um den Trojaner StuxNet hätten gezeigt, wie sicherheitskritisch IT-Infrastrukturen für Wirtschaft und Staat sind.

StuxNet war vermutlich zum Angriff auf Industrieanlagen entwickelt worden und hatte eine bestimmte Kombination von Steuersystemen ausgewählter Maschinen zum Ziel. Der technische Hintergrund: Moderne Maschinen und Anlagen kommen ohne vernetzte Sensoren und Steuerkomponenten nicht mehr aus. Aufgrund dieser zunehmenden Vernetzung, zum Teil auch über das Internet, entstehen neue Angriffspunkte bei den Produzenten und Betreibern großer Maschinen und Anlagen.

„Viele Unternehmen haben zwar ein ausgereiftes Sicherheitskonzept für ihre eigene Unternehmens-IT, doch nur wenige passen ihre produktspezifischen Sicherheitskonzepte an die aktuelle Bedrohungslage an, die sich durch die zunehmende Vernetzung von Maschinen und Anlagen ergibt“, kritisiert Kempf. Ausgangspunkt sei deshalb immer eine Risikoanalyse des kompletten Systems. Dabei sollten neben der Anlage selbst auch die angrenzenden Systeme wie PCs mit Software zur Maschinenüberwachung und alle Kommunikationskanäle der Komponenten einbezogen werden“, so Kempf.

Wichtig bei der Risikoanalyse und dem Entwurf eines Sicherheitskonzepts: Durch die verstärkte Vernetzung können das tatsächliche Angriffsziel, etwa die komplexe Werkzeugbahn einer Fräse, und die Schwachstelle der Verteidigung auch geografisch weit voneinander entfernt sein. Kempf: „StuxNet sollte als Warnung verstanden werden – jetzt muss gezieltes Sicherheits-Engineering folgen, nicht Aktionismus vor der Drohkulisse eines Cyberwars.“ (BITKOM /ml)